Cyberangriffe auf Museen: Datenschutz wird zur Überlebensfrage

Hackerangriffe auf europäische Kulturschätze und verschärfte EU-Regeln zwingen Museen zum Umdenken.

Die digitale Verwundbarkeit des Kultursektors hat ein neues Ausmaß erreicht. Gleich mehrere prominente Einrichtungen wurden in den vergangenen Monaten Opfer von Cyberattacken – darunter das Kolosseum in Rom, die Uffizien in Florenz und die Staatlichen Kunstsammlungen Dresden. Zeitgleich verschärfen die europäischen Datenschutzbehörden ihre Gangart: Die Zahl der gemeldeten Datenschutzverstöße stieg 2025 um 22 Prozent, wie eine Studie der Anwaltskanzlei DLA Piper zeigt. Seit Januar 2026 werden täglich über 400 Verstöße gemeldet – ein Rekordwert.

Angesichts steigender Cyberangriffe auf öffentliche Einrichtungen müssen auch Museen ihre IT-Infrastruktur ohne massives Budget absichern. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie aktuelle Bedrohungen abwenden und neue gesetzliche Anforderungen proaktiv erfüllen. Gratis E-Book: IT-Sicherheit im Unternehmen stärken

Wenn die Technik zur Achillesferse wird

Der Angriff auf die Staatlichen Kunstsammlungen Dresden im Januar traf ein Netzwerk von 15 Museen. Die Folge: Das interne Kommunikationssystem brach zusammen, der Zugriff auf Sammlungsdaten war blockiert, Online-Ticketing und Museumsshop mussten eingestellt werden. In Italien legten ähnliche Attacken die Besucherverwaltungssysteme lahm. Hinter den Uffizien-Angriffen steckten offenbar Erpressungsversuche.

Das eigentliche Problem: Viele Museen arbeiten mit historisch gewachsenen IT-Strukturen. Unterschiedliche Systeme aus verschiedenen Technikgenerationen klaffen nebeneinander – ein Paradies für Angreifer. „Der Schutz des kulturellen Erbes umfasst heute zwingend auch die Verteidigung digitaler Assets und Besucherdaten", betonten Experten des europäischen Museumsverbands NEMO in einem speziellen Webinar am 7. Mai 2026.

Regulierungsdruck steigt rasant

Die technischen Risiken treffen auf eine immer strengere Aufsicht. Die kumulierten Geldstrafen nach der DSGVO erreichten bis zum Frühjahr 2026 rund 7,1 Milliarden Euro. Die Behörden zielen längst nicht mehr nur auf große Technologiekonzerne – auch kleinere Organisationen und öffentliche Einrichtungen geraten ins Visier.

Besonders im Fokus: das „Recht auf Löschung" nach Artikel 17. Die Aufsichtsbehörden verlangen transparente und effiziente Verfahren für Datenlöschungsanträge. Hinzu kommt die geplante „Digital Omnibus"-Verordnung aus dem Jahr 2025. Sie soll verschiedene EU-Datenschutz- und Cybersicherheitsgesetze vereinfachen, führt aber gleichzeitig klarere Grenzen für die Datenverarbeitung im Bereich Künstlicher Intelligenz ein.

Großbritannien geht voran: Neue Beschwerdewege ab Juni

Auch nationale Reformen schaffen neue Anforderungen. In Großbritannien trat der Data Use and Access Act (DUAA) 2025 am 5. Februar 2026 in Kraft. Die wichtigste Neuerung für Museen: Ab dem 19. Juni 2026 müssen Besucher ihre Datenschutzbeschwerden zunächst direkt an die Einrichtung richten, bevor sie die Aufsichtsbehörde ICO einschalten können.

Das British Museum, das Anfang 2025 einen schweren IT-Sicherheitsvorfall durch einen ehemaligen Mitarbeiter erlebte, hat bereits reagiert. Interne Richtlinien wurden verschärft, der Fokus liegt auf strengen Zugangskontrollen und der Verwaltung von Mitarbeiter- und Dienstleisterberechtigungen. „Insider-Bedrohungen" – ob böswillig oder fahrlässig – gelten als eines der größten Risiken für Kultureinrichtungen.

Personalisierung versus Privatsphäre

Museen stehen vor einem grundlegenden Dilemma: Sie wollen Besuchern maßgeschneiderte Erlebnisse bieten, müssen aber gleichzeitig strengste Datenschutzauflagen erfüllen. Moderne Besuchermanagementsysteme setzen zunehmend auf KI für personalisierte Empfehlungen und reibungslosen Eintritt – und sammeln dabei riesige Mengen an Verhaltensdaten.

Die Lösung vieler Häuser: Sie bauen eigene Ticketplattformen auf, statt auf Drittanbieter zu setzen. So behalten sie die Kontrolle über die Besucherdaten. Ein Beispiel ist die Plattform Pukkart, die Anfang Mai 2026 ankündigte, Blockchain- und NFC-Technologie zur Echtheitsprüfung von Kunstwerken zu nutzen – im Einklang mit europäischen Digital-Identitäts- und Datenschutzstandards.

Besonders heikel: der Umgang mit Daten Minderjähriger. Museen, die digitale Bildungsangebote oder interaktive Ausstellungen bereitstellen, müssen komplexe Altersverifikations- und Datenminimierungsverfahren umsetzen. Die Bußgelder für Verstöße können existenzbedrohend sein.

Die Kosten der digitalen Rückständigkeit

Die jüngsten Angriffe offenbaren eine gefährliche Lücke zwischen digitalen Ambitionen und tatsächlicher Sicherheit. Viele Museen haben ihre Sammlungen und Besucherschnittstellen erfolgreich digitalisiert – doch die dahinterliegende Infrastruktur bleibt oft unterfinanziert. Die durchschnittlichen Kosten eines Datenlecks lagen 2025 bei knapp fünf Millionen US-Dollar (umgerechnet rund 4,6 Millionen Euro). Für gemeinnützige Kultureinrichtungen wäre das existenzgefährdend.

„Das Privacy-Theater der Vergangenheit – ein paar Cookie-Banner ohne tiefere technische Umsetzung – reicht nicht mehr", analysieren Branchenkenner. Die Aufsichtsbehörden verlangen „technische Wahrheit" in der Nachverfolgung und Speicherung von Daten. Gefragt sind aktive Überwachung und automatisierte Governance-Tools, die Anomalien in Echtzeit erkennen.

Der Einsatz moderner Technologien wie KI im Besuchermanagement bringt neue gesetzliche Pflichten mit sich, die viele Einrichtungen noch nicht kennen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihnen, Risikoklassen und Dokumentationspflichten schnell zu verstehen. Kostenloses E-Book zur KI-Verordnung herunterladen

Ausblick: Der Druck wird weiter steigen

Am 2. August 2026 läuft die Übergangsfrist für den EU AI Act aus. Dann drohen auch für Museen, die automatisierte Entscheidungssysteme oder Profiling in Besuchermanagement oder Sicherheit einsetzen, zusätzliche Strafen. NEMO hat bereits zusätzliche Schulungen für Juni 2026 angesetzt, um Einrichtungen bei der Bewertung ihrer „digitalen Reife" zu helfen.

Eines ist klar: Je stärker die physische und digitale Welt der Kunst verschmelzen, desto mehr wird der Nachweis eines robusten Datenschutzes zur Grundvoraussetzung für das Vertrauen der Öffentlichkeit. Wer jetzt nicht handelt, riskiert nicht nur hohe Strafen – sondern den Verlust der Glaubwürdigkeit.

de | wirtschaft | 69306287 |